Public Key Infrastructure (PKI) 2. rész
(folytatás innen)
Tanúsítvány kibocsátás
A Windows 2003 szerver három módon tud kibocsátani tanúsítványt: Auto, Web, Manual. Mielőtt még eldöntenénk, hogy melyiket válasszuk, nézzük meg, hogy ki mit tud:
Enterprise: AD integrált, a tanúsítványokat és a CRL-t is ott publikálja. Ők csak az AD-ban található felhasználóknak és számítógépeknek tudnak tanúsítványt kiállítani. Az AD-ban található adatok alapján dönti el, hogy jóváhagyja vagy elutasítja a kérelmet.
Mivel az Enterprise tanúsítványok az AD-ban kerülnek publikálásra, s például a felhasználói tanúsítványok a megfelelő fiókhoz köthetőek, ennek eredményeképpen egyes programok, mint például az MS Outlook automatikusan használ(hat)ják őket a levelek titkosítása során.
Az auto-enrollment csak akkor járható, ha a tanúsítványt igénylő és a vállalati CA közvetlenül kapcsolatot tud létesíteni.
Stand-alone: nem kell neki AD, emiatt viszont az összes olyan adatot meg kell adni, ami a kérelem elbírálásához szükséges. Alapértelmezés szerint ezek a kiszolgálók nem válaszolnak automatikusan a kérelmekre, de ez a beállítás módosítható.
Tanúsítvány-igénylés
Az automatikus tanúsítvány igénylés (ami csak Enterprise CA esetén használható, Windows Enterprise vagy Datacenter esetén) a tanúsítványok önálló igényléséről/megújításáról szól, házirendből szabályozva. Természetesen szükség esetén felhasználói beavatkozást is be lehet iktatni.
Mint szinte mindenhol, itt is lehetnek ügynökök. A „sorozó” ügynök más nevében kér tanúsítványt, tipikusan intelligens kártyák esetében használatos. Ugyanakkor az ilyen kártyáknál fokozottan kell figyelni, például ha titkosító tanúsítványt igénylünk, akkor biztosak kell legyünk abban, hogy a magán titkosító kulcs is megfelelő helyen legyen tárolva.
A kulcsok mentése a magán titkosító kulcsok biztos tárolását biztosítja, arra az esetre, ha titkosított adatot kell visszaállítani, de a kulcs elveszett. A kulcs tárolásának módját a sablonban tudjuk szabályozni, a kulcs-visszaállítás feladatát pedig kulcs-visszaállító ügynökök végzik.
Igénylés módja
Összegezve a fentieket, az igénylésünk típusa két dologtól függ: a kérést kiszolgáló CA típusa, valamint, hogy a kérelmező és a kiszolgáló közvetlenül tud-e hálózaton kommunikálni.
Ha Standalone CA-tól akarunk igényelni tanúsítványt, akkor három lehetőségünk van:
1. Certificates snap-in
2. Certreq eszköz
3. Webes felület
Enterprise CA esetén szintén használhatóak az előbbiek, de bejön egy negyedik lehetőség is, a házirend. Bármelyik esetben beállítható, hogy vagy automatikus válaszadás történjen, vagy egyéni elbírálás legyen minden esetben. Előbbi esetben a sablonon engedélyezni kell az AutoEnrollment jogot a kérelmezőnek.
4. Házirend esetén XP/2003 párostól adhatunk meg automatikus igénylést, felhasználónak és gépnek egyaránt. Viszont követelmény, hogy legalább V2 típusú sablonnal kell rendelkezzen az igényelt tanúsítvány.
Ki kicsoda?
Ha ki kell derítsük, hogy ki a CA (számítógépnév és/vagy CA-név), itt találunk megoldást. No meg arra is, hogyha arra vagyunk kíváncsiak, hogy az adott CA milyen típusú (önálló vagy vállalati, illetve gyökér vagy alárendelt): certutil –cainfo.
Az elméleti tudásunk bővítéséhez még a következő két cikk javasolt:
http://www.tech-faq.com/the-certificate-enrollment-process.html
http://technet.microsoft.com/en-us/library/cc962066.aspx
A következő rész már a konkrét probléma taglalása lesz…
-
augusztus 17, 2011 - 11:21 de.Public Key Infrastructure (PKI) 3. rész – konkrét probléma | Asteriksz's Blog
-
április 19, 2021 - 12:00 du.CA tanúsítvány igénylése – webes felület | Asteriksz's Blog